Reteniendo datos por un rescate - Ransomware

Con organizaciones de todo el mundo todavía preocupadas por el impacto de ataques de ransomware como el de WannaCry, Michael Rohrs, consultor senior en nuestra área de seguridad cibernética, destaca los factores que influyen en la gravedad de un incidente de extorsión cibernética

En los últimos años, la extorsión cibernética se ha convertido en una técnica muy prolífica y pública. Es vital que todas las organizaciones cuenten con un plan bien estructurado y con los recursos adecuados para la respuesta técnica de incidentes ante tales eventos. Ese plan debe incluir la capacidad de detectar, evaluar, escalar, contener, remediar y recuperarse de ataques contra los activos de información más valiosos para su negocio.

Sin embargo, la respuesta técnica ante incidentes también se debe ejecutar dentro de un enfoque más amplio para responder a una extorsión cibernética - un enfoque que debe ser impulsado por la gestión del riesgo de todo el negocio, no solo para resolver el problema técnico inmediato.

La gravedad de un incidente de extorsión cibernética se determina por tres cosas: la capacidad e intención; costo versus beneficio; y gestión de crisis. Cada una de ellas consiste, en última instancia, en evaluar el riesgo para la empresa y en sopesar las consecuencias resultantes para toda la empresa, que debe regir y abarcar la respuesta técnica de la organización.

Capacidad e intención

Una de las primeras preguntas esenciales a responder cuando se le alerta de un incidente de extorsión cibernética es: "¿Es el atacante capaz de lo que dice?" Para responder esta pregunta es importante verificar las afirmaciones con evidencia, si es posible. Muchas estafas, hoaxes y campañas de scareware tratan de poner a sus víctimas ansiosas y aprovechar nuestra tendencia natural a actuar precipitadamente cuando nos sentimos incómodos. Teniendo esto en cuenta sigue un largo camino para asegurar que usted puede centrarse en hacer una evaluación mesurada de la situación.

Dependiendo del caso, revisar los registros del sistema para verificar el acceso del atacante o analizar los datos de muestra para ver si son auténticos son métodos útiles para evaluar la capacidad del atacante para cumplir su amenaza. Consultar la información sobre amenazas de organizaciones gubernamentales y la comunidad de seguridad cibernética del sector privado sobre grupos de ataque y campañas conocidas es otra forma valiosa de medir rápidamente cuán capaz y que tan creíble podría ser un ataque.

Sin estos indicadores, es importante usar cualquier información que tenga disponible para hacer una evaluación - dado lo que sabe, ¿tiene sentido que la amenaza de extorsión es legítima? Además, con base en sus demandas, ¿qué es lo que realmente quieren y por qué fue mi organización el objetivo?

La mayoría de los extorsionistas cibernéticos están motivados por una o más de cuatro cosas: dinero, ego, venganza y política.

Ganar dinero es, por mucho, la intención más frecuente en los casos de extorsión cibernética. El crimen cibernético es una economía. Reflejando las economías legales, existen mercados para comprar malware, herramientas de hacking y datos robados; alquilar infraestructura anónima; y contratar servicios delictivos. Existe una competencia de mercado entre los grupos delictivos y algunas campañas ofrecen descuentos o planes de pago a plazos.

Para aquellos que simplemente buscan ganar dinero, los mismos principios de la economía empresarial se aplican cuando se trata de hacerlo en este mercado - están motivados a concentrar sus esfuerzos en lo que genera más dinero con menor esfuerzo. En casos como estos, es bastante sencillo evaluar las implicaciones para cada una de sus posibles acciones de respuesta.

Aunque son menos frecuentes, en los casos en que el atacante es impulsado por el ego, la venganza o la política, la situación puede ser más complicada. Estos atacantes tienden a ser más persistentes y más maliciosos. Como tal, a menudo la víctima tiene menos poder para influir en una resolución oportuna y para manejar el impacto - por lo cual recomendamos buscar el apoyo de recursos externos, incluyendo la gestión de crisis y asesoría legal.

Costo versus beneficio

Ser extorsionado puede ser emocional. Independientemente de las circunstancias, puede sentirse invasivo, irritante y embarazoso, especialmente si ha sido blanco más de una vez. Pero no todos los intentos de extorsión tienen el mismo nivel de severidad o implicaciones. En cada caso, lo que usted representa como negocio, la tolerancia al riesgo que tiene, y los detalles circunstanciales importan significativamente. Para cada caso, es importante enumerar sus opciones de respuesta y tener una mirada crítica del costo versus beneficio de cada una.

Por ejemplo, en las campañas de extorsión extensivas, la demanda es a menudo la misma independientemente de la víctima - pero ese mismo pago puede ser insignificante para una corporación multinacional y una pequeña fortuna para una empresa familiar.

Como otro ejemplo, considere la campaña mundial de WannaCry en mayo de 2017. Aunque la demanda de rescate en bitcoins era relativamente baja -el equivalente de aproximadamente USD $300- es un precio inconveniente a pagar para la mayoría, el impacto en el National Health Services (NHS) del Reino Unido fue significativo y, en algunos casos, potencialmente mortal. La posible corrupción de las computadoras del hospital, los refrigeradores de almacenamiento de sangre y otros equipos médicos esenciales obligaron a algunos servicios del NHS a rechazar las emergencias no críticas. Varias cadenas de hospitales grandes en los Estados Unidos se han encontrado en el mismo problema durante el último año.

Incluso en casos extremos como éste, solo después de haber determinado que el cumplimiento de la demanda de extorsión probablemente aliviará su problema, que no puede permitirse el impacto potencial de lo contrario, que puede aceptar el daño de reputación y que puede manejar el riesgo de convertirse en un objetivo de repetición, debe considerar cumplir con la demanda de extorsión. En ese caso, recomendamos asesorarse con expertos para iniciar una negociación estructurada con el atacante.

Por otro lado, dependiendo de las circunstancias, las empresas bien preparadas suelen estar en condiciones de restaurar los sistemas cifrados utilizando copias de seguridad, limitar el daño causado por la potencial liberación de datos, mantener el principio de no pagar rescate o ignorar la amenaza de extorsión y absorber un impacto menor

Tomemos por ejemplo el caso de Netflix en diciembre de 2016. Netflix es sin duda un objetivo potencialmente lucrativo. Según se informa, un atacante tuvo acceso a copias previas de una serie popular cuando atacó a una compañía de postproducción con la que Netflix trabaja. Intentaron obtener dinero de Netflix, amenazando con liberar el contenido donde la gente podía piratearlo de forma gratuita a menos que Netflix pagara en su fecha límite. Pero juzgaron mal el cálculo de costo/beneficio de Netflix y su tolerancia al riesgo. Netflix se negó a pagar. El atacante filtró el contenido, pero se quedó con las manos vacías después de gastar recursos para la operación, exponiendo su nombre e infraestructura a la comunidad de seguridad, y demostrando a sus competidores criminales y otras víctimas potenciales que no son dignos de ser tomados en serio.

Manejo de crisis

Independientemente de los hechos de un incidente, la percepción puede ser una realidad durante una crisis, especialmente cuando se trata de daño a la reputación, confianza del cliente, el juicio de la opinión pública y la responsabilidad por el deber de cuidado. A veces, la forma de gestionar los otros aspectos del incidente - la continuidad del negocio, las comunicaciones internas, las obligaciones legales, la relación con el cliente y la interacción con los medios para nombrar sólo algunos- son más importante que su respuesta técnica. La capacidad de una empresa para responder a nivel empresarial cuando las cosas salen mal puede ser la diferencia entre un incidente aislado y una crisis duradera

Como parte de su preparación para manejar un evento de extorsión, le recomendamos que establezca un programa estructurado de gestión de crisis. Este programa debe incluir representantes de alto nivel de toda la empresa, con líneas claras de comunicación, autoridad para la toma de decisiones ejecutivas y un entendimiento común de las prioridades del negocio y las políticas permanentes durante un evento de extorsión. También requiere práctica regular. La respuesta a los incidentes y los ejercicios de gestión de crisis son la mejor manera de asegurar que su equipo y sus planes puedan resistir la presión y las complicaciones de un incidente de extorsión.

Preparándose para lo esperado

La extorsión es una técnica bien establecida y en evolución para acumular ingresos ilícitos y ejercer influencia. Desafortunadamente, la extorsión cibernética tiene ahora una incidencia común entre distintos sectores alrededor del mundo. Seguramente continuará ocurriendo mientras funcione. La mejor manera de proteger su empresa y reducir su riesgo es preparar su negocio con anticipación para manejar el incidente y recordar estos principios cuando la situación parece emocional y caótica.

Ofrecemos asesoramiento, desde la experiencia, la información principal, los factores de riesgo y de seguridad que deben prepararse ante la posibilidad de que algún día tendrán que manejar un caso de extorsión cibernética, para ayudar a guiar su enfoque y facilitar su toma de decisiones.